Le 21 avril 2025, la société de cybersécurité Aikido Security a détecté une vulnérabilité critique dans le package NPM, une bibliothèque pour les développeurs d’applications du réseau créé par Ripple, XRP Ledger (XRPL).
Cet échec, rapporté par Cryptotics, permettrait aux attaquants d’accéder aux clés privées, expose une faiblesse structurelle qui, étonnamment, déjà, déjà avait été prévenu il y a dix ans Par Peter Todd, un développeur de logiciels Bitcoin reconnus.
En mai 2015, Todd a analysé les risques du réseau XRPL et a souligné que la probabilité d’une telle attaque était “élevée”, une prévision qui est confirmée aujourd’hui.
Un avertissement précoce ignoré
Todd, connu pour son travail à Bitcoin Core et des projets tels que OpenTiMemps, a décrit que Un attaquant pourrait insérer une porte arrièreconnu en anglais comme porte arrièredans des implémentations largement utilisées du logiciel Ripple, comme le serveur «logiciel de nœud ondulant».
Cette attaque pourrait être exécutée à la fois par un membre interne de Ripple Labs et externe qui a compromis la source ou le code binaire hébergé sur des plates-formes telles que GitHub. Selon Todd, Le coût économique de cette attaque a été vide Et sa portée était large, avec une durée potentielle de semaines et une forte probabilité de succès.
Une porte arrière est un mécanisme caché dans le logiciel qui permet un ATACKER Access Data Sensitive Dataen tant que clés privées, qui dans le cas des crypto-monnaies contrôlent les fonds utilisateur. Le package NPM XRPL, où une défaillance récente a été détectée, est une bibliothèque que les développeurs utilisent pour créer des applications sur ce réseau, ce qui amplifie l’impact de la vulnérabilité.
Facteurs de risque indiqués par Todd
Dans son analyse de 2015, Todd a identifié deux faiblesses structurelles dans la gestion des logiciels de Ripple Labs. Premièrement, il a souligné que l’ensemble du code du réseau était open source, qui, bien qu’il encourage la transparence, facilite également que les tiers malveillants l’étude et l’exploitent.
De plus, Ripple Labs dépendait de GitHub, une plate-forme de développement collaborative, pour héberger son code. Bien que Github soit fiable, Todd a averti que Faites confiance à un troisième pour la distribution des logiciels présente des risquessurtout si les signatures cryptographiques ne sont pas implémentées pour vérifier l’authenticité du code en tant que PGP (acronyme en anglais de “assez bonne confidentialité”), un logiciel et une norme de cryptage pour protéger la confidentialité et l’authenticité des données numériques.
En fin de compte, un autre point critique indiqué par le développeur Bitcoiner était le manque de mécanisme sûr pour les utilisateurs de télécharger le logiciel. Todd a souligné que, bien que le binaire soit disponible, Ripple Labs n’a pas offert un moyen sûr de vérifier son intégrité.
Par exemple, les forfaits d’Ubuntu, un système d’exploitation populaire, ont été distribués via un référentiel HTTP non sécurisé, sans signatures garantissant leur authenticité. Cela a ouvert la porte aux attaques où un attaquant pourrait modifier le logiciel pendant la décharge.
Par la suite, le 22 avril, à partir de son compte Social Network X, la XRPL Foundation, une organisation qui traite du développement du réseau créé par Ripple, a publié la mise à jour XRPL.js. corrigerait la vulnérabilité décrite ci-dessus.
Comment Bitcoin Core minimise les vulnérabilités de type?
Bitcoin Core, en tant que client de référence pour Bitcoin, est un projet open source qui utilise des signatures PGP pour garantir l’intégrité et l’authenticité de ses versions logicielles.
Chaque lancement officiel (par exemple, Bitcoin Core v29.0) est signé par les principaux mainteneurs avec leurs clés PGP, permettant aux utilisateurs Vérifiez que le code déchargé n’a pas été modifié. Cela traite directement du problème indiqué par Todd dans Ripple, où le manque de signatures PGP a facilité la distribution du code malveillant.
De plus, Bitcoin Core compte des dizaines de collaborateurs principaux (mainteneurs et examinateurs clés) et des centaines de collaborateurs secondaires qui examinent le code dans GitHub. Ce modèle de développement ouvert garantit que plusieurs yeux examinent chaque changement proposé, Réduire la probabilité que les vulnérabilités Ils passent inaperçus.
(TagStotranslate) Bitcoin (BTC) (T) Blockchain (T) lo último (T) Peter Todd (T) Ripple (XRP)
